Cyberprzestępcy szukają pracowników

Przeczytaj także: Ransomware, czy 167 razy więcej zagrożeń

"Nie wiesz, jak skutecznie przeprowadzić atak szyfrujący? Spokojnie, doradzimy! Po prostu ustal wysokość okupu, czas na jego wpłacenie i zacznij zarabiać na szyfrowaniu cudzych danych!" - tak wkrótce mogą reklamować się twórcy wirusów do wynajęcia w formie usługi. Firma ANZENA alarmuje, że to właśnie rosnąca popularność trendu zagrożenie-jako-usługa napędza rosnący rynek ransomware. Rynek, który w kilkanaście miesięcy ewoluował z drobnych wyłudzeń w potężny biznes operujący atakami na skalę przemysłową.

Wskaźnikiem rozwoju sektora może być liczba domen ransomware - tylko w pierwszym kwartale 2016 roku wzrosła ona o 3500% w stosunku do Q4 2015. Według danych firmy Infoblox najwięcej złośliwych witryn powstaje obecnie w Stanach Zjednoczonych (41% wzrostu), ale też w Portugalii (17%), Rosji (12%), Holandii (10%), Wielkiej Brytanii (8%) i Islandii (6%). Dlaczego coraz więcej osób chce zarabiać na szyfrowaniu cudzych danych?

1. Niski próg wejścia

Do niedawna wynajęcie zagrożenia wiązało się z opłatą wstępną. Twórcy malware'u zrozumieli, że od opłat lepszą inwestycją jest czas osób rozprowadzających zagrożenia (dystrybutorów). Przykładem jest krążący od kilku dni po sieci komunikat rekrutacyjny autorstwa osoby zwanej "ransomware boss". Tekst otwarcie zachęca do zarabiania "dużych pieniędzy w nieuczciwy sposób", uspokajając potencjalnych dystrybutorów, że "nie muszą uiszczać żadnych opłat", a ich brak doświadczenia "nie stanowi żadnego problemu". Chętni otrzymują dostęp do zagrożeń, którymi mają zaatakować maksymalną liczbę celów. Mogą przy tym dowolnie konfigurować parametry zagrożenia włącznie z wysokością żądanego okupu. Sam sposób ataku zależy od inwencji dystrybutora - w grę wchodzą np. mailowe kampanie spamowe, fałszywe reklamy i niedozwolone w przeglądarkach metody pozycjonowania zarażonych stron (tzw. BlackHat SEO).

W przypadku udanego zaszyfrowania danych ofiary otrzymuje ona polecenie kontaktu z autorem zagrożenia. Gdy okup w walucie Bitcoin zostaje opłacony, boss wysyła dystrybutorowi 40% udziału. Podział zysków jak na standardy RaaS jest dość nietypowy - w większości zagrożeń twórca oddaje dystrybutorowi 75-95% okupu chcąc zachęcić go do kolejnych ataków. Z ustaleń firmy Flashpoint, która wykryła całą akcję wynika, że średnie miesięczne zarobki wynosiły do tej pory 600$ dla pośrednika i 7500$ dla bossa.

2. Duży (dalej) może więcej

Chcesz kosić haracze? Sierp jest za darmo, ale niektórzy wolą zapłacić za znacznie efektywniejszy kombajn. Przykładem takiego zagrożenia "premium" w modelu RaaS jest Nuclear Exploit Kit wynajmowany cyberprzestępcom za kilka tysięcy dolarów miesięcznie. W jego panelu sterowania atakujący łatwo skomponuje swój własny zestaw zagrożeń, a następnie pośle go w sieć zarządzanymi przez siebie kampaniami. Raport firmy Checkpoint ujawnia, że w samym kwietniu 2016 użytkownicy Nuclear EK zaatakowali ponad 1,8 mln maszyn skutecznie infekując blisko 185 tysięcy urządzeń. Zagrożenia szyfrujące wykryto w 78% udanych infekcji. Jeśli cyberprzestępcy nie zadowoli taki atak o skuteczności 9,95% to za odpowiednią kwotę łatwo zamówi wersję wirusa zmodyfikowaną wedle swoich wytycznych.

3. Anonimowość

Od samego początku złośliwego szyfrowania finanse biznesu ransomware maskowane są transakcjami w sieci TOR i kryptowalutą BitCoin. Taki model działania ma w założeniu ukrywać tożsamość twórców i osób rozprowadzających zagrożenie przed ewentualnymi sankcjami prawnymi. Gwarancji sieciowej niewidoczności co prawda nie ma, jednak wielu cyberprzestępcom zdaje się to nie przeszkadzać i trudno oczekiwać, by zaczęło przeszkadzać początkującym wyłudzaczom. A jeśli nawet to...

4. Cyberprzestępca? To nie ja!

Warto zwrócić uwagę na psychologiczny wymiar trendu: rozpowszechniając proste narzędzia do finansowych wymuszeń RaaS może zamazywać podział na cyberprzestępców i internautów w świadomości użytkowników. Firma ANZENA przywołuje słowa autora jednego z pierwszych zagrożeń w modelu RaaS o pseudonimie Tox. Wątpliwości moralne wynikające z szyfrowania cudzych danych skwitował on krótko: "Oczywiście, że żal mi ofiar, ale nie jest tak źle: twój dzień będzie pewnie zepsuty, jednak to minie. Z drugiej strony ktoś, kto dostanie twój okup może być w złej sytuacji finansowej. Może to nie jest w porządku, ale to właśnie jest równowaga." Amatorzy cyberataków mogą się tłumaczyć zaprzeczeniami w rodzaju: "każdy tak robi / zrobiłby na moim miejscu", "jeśli nie ja, ktoś inny to zrobi" czy wreszcie "wszystkich nas nie złapią" - fałszywy argument takiej powszechności wykroczenia, że przestaje być ono wykroczeniem. Niepokojące? Jeśli przyjąć, że masowa chęć szybkiego zarobku będzie co najmniej taka, jak dziś chęć bezpłatnego obejrzenia filmu czy pobrania mp3 to w najczarniejszym scenariuszu sieć zamieni się w pole bitwy, na którym przetrwają tylko posiadacze backupu - jedynego zabezpieczenia przed skutkami szyfrowania.